A Red Hat és a Google a Purdue Egyetemmel együtt nemrégiben bejelentette a Sigstore projekt megalapítását, akinek A cél az, hogy olyan eszközöket és szolgáltatásokat hozzunk létre, amelyek segítségével digitális aláírások segítségével ellenőrizhető a szoftver és nyilvános átláthatósági nyilvántartást vezet. A projektet a Linux Foundation, nonprofit szervezet égisze alatt fejlesztik ki.
A javasolt projekt fokozza a szoftverterjesztési csatornák biztonságát és védelmet nyújt a célzott támadások ellen szoftverkomponensek és függőségek (ellátási lánc) cseréje. A nyílt forráskódú szoftverek egyik legfontosabb biztonsági problémája a program forrásának és a gyártási folyamat ellenőrzésének nehézsége.
Pl. a verzió integritásának ellenőrzésére, a legtöbb projekt hash-t használ, De gyakran a hitelesítéshez szükséges információkat nem védett rendszerekben és megosztott kódtárakban tárolják, amelyek kompromisszumának eredményeként a támadók rosszindulatú változásokat vezethetnek be az ellenőrzéshez szükséges fájlok gyanúja nélkül.
Csak a projektek kisebb része használ digitális aláírást a kiadások terjesztésére a kulcsmenedzsment összetettsége miatt, a nyilvános kulcsok terjesztése és a megsértett kulcsok visszavonása. Ahhoz, hogy az ellenőrzésnek értelme legyen, megbízható és biztonságos eljárást kell szerveznie a nyilvános kulcsok és ellenőrző összegek terjesztésére is. Még digitális aláírás esetén is sok felhasználó figyelmen kívül hagyja az ellenőrzést, mivel időbe telik az ellenőrzési folyamat tanulmányozása és annak megértése, hogy melyik kulcsban bíznak meg.
A Sigstore-ról
A Sigstore-t Let’s Encrypt analógként népszerűsítik a kódhoz, ptanúsítványok biztosítása digitális kód aláíráshoz és eszközök az ellenőrzés automatizálásához. A Sigstore segítségével a fejlesztők digitálisan aláírhatják az alkalmazással kapcsolatos tárgyakat, például indító fájlokat, tároló képeket, jegyzékeket és futtatható fájlokat. A Sigstore sajátossága, hogy az aláírásra használt anyag a változásoktól védett nyilvános nyilvántartásban jelenik meg, amely felhasználható ellenőrzésre és auditálásra.
Állandó kulcsok helyett A Sigstore rövid életű rövid ideig tartó kulcsokat használ, Ezeket az OpenID Connect szolgáltatók által megerősített hitelesítő adatok alapján állítják elő (a digitális aláírás kulcsainak létrehozásakor a fejlesztőt az OpenID szolgáltatón keresztül azonosítják e-mail linkkel). A kulcsok hitelességét a központosított nyilvános nyilvántartás alapján ellenőrzik, amely lehetővé teszi, hogy megbizonyosodjon arról, hogy az aláírás szerzője pontosan az, akinek állítja magát, és hogy az aláírást ugyanaz a résztvevő alkotta, aki a korábbi verziókért volt felelős.
A Sigstore használatra kész szolgáltatást és olyan eszközöket kínál, amelyek lehetővé teszik hasonló szolgáltatások megvalósítását a számítógépén. A szolgáltatás minden szoftverfejlesztő és eladó számára ingyenes, és egy semleges platformon valósul meg: a Linux Foundation. A szolgáltatás minden összetevője nyílt forráskódú, Go nyelven íródott, és az Apache 2.0 licenc alatt terjesztésre kerül.
A fejlesztés alatt álló alkatrészek közül meg lehet jegyezni:
- Rekor: egy nyilvántartás megvalósítása digitálisan aláírt metaadatok tárolására amelyek tükrözik a projektekkel kapcsolatos információkat. Az integritás és az adatok torzulása elleni védelem garantálása érdekében a "Tree Merkle" fa struktúrát visszamenőleg alkalmazzák, ahol az egyes ágak a hash funkciónak köszönhetően minden szálat és mögöttes komponenst ellenőriznek.
- A Fulcio (SigStore WebPKI) tanúsító hatóságok létrehozására szolgáló rendszer (Root-CA), amelyek rövid életű tanúsítványokat bocsátanak ki hitelesített e-mailek alapján az OpenID Connect segítségével. A tanúsítvány élettartama 20 perc, amely alatt a fejlesztőnek ideje kell lennie egy digitális aláírás előállítására (ha a jövőben a tanúsítvány egy támadó kezébe kerül, akkor lejár).
- Сosign (Container Signing) eszközkészlet az aláírások előállításához a konténerekben, ellenőrizze az aláírásokat és helyezzen aláírt tárolókat az OCI (Open Container Initiative) kompatibilis tárolókba.
Végül, ha többet szeretne tudni erről a projektről, tekintse meg a részleteket A következő linken.